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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

@ Verfahren und Vorrichtung zum Verarbeiten von Daten 

(57) Es ist ein Verfahren zum Verschlusseln und/oder Ent- 
schlusseln von Daten, bei dem die Daten fur ein Ver- 
schlusseln oder Entschltisseln in einem Verschlussel- 
ungs- oder Entschlusselungsschritt vorgesehen werden, 
der aus mehreren alternativen gleichwertigen Verschlus- 
selungs- oder Entschliisselungsschritten ausgewahlt ist, 
und/oder aus mehreren sequentiell abzuarbeitenden Ver- 
schlusselungs- oder Entschlusselungsteilschritten be- 
steht, wobei der ausgewahlte Verschliisselungs- oder Ent- 
schlusselungsschritt zufallig ausgewahlt ist und/oder die 
Verschliisselungs- oder Entschlusselungsschritte zufallig 
verandert sind, vorgesehen. 
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Beschreibung 



Die Erfindung betrifft ein Verfahren bzw. eine Vorrich- 
tung zum Verarbeiten von Daten. Im Rahmen ublicher Da- 
tenverarbeitung werden heut zutage zunehmend Sicher- 5 
heitsaspekte relevant, da zunehmend versucht wird, uner- 
iaubt Daten aus Datenverarbeitungsanlagen zu erhalten. Um 
die zu verhindem werden zunehmend kryptographische Ver- 
fahren angewandt, bei denen zu schutzende Daten ver- 
schliisselt werden. Hierzu wird unter anderem beispiels- 10 
weise das "Public-Key- Verfahren" verwendet, bei dem jeder 
Teilnehmer eines Systems ein Schlilsselpaar besitzt, das aus 
einem geheimen Schlusselteil und einem offentiichen 
Schlusselteil besteht. Die Sicherheit der Teilnehmer beruht 
nun darauf, daB der geheime Schlusselteil Unbefugten nicht 15 
bekannt ist. Die Ausfuhrung eines derartigen Verfahrens ge- 
schieht haufig in einer besonders gesicherten Komponente, 
wie beispielsweise einer Chipkarte aber auch in einem ein- 
mal in ein Gerat eingesetzten elektronischen Schaltkreis - 
auch als IC bekannt -, in denen dann das Verfahren selbst 20 
realisiert ist. Somit braucht der geheime Teil des Schlussels 
diese gesicherte Komponente nicht zu verlassen. 

Neuerdings sind jedoch Angriffe bekannt geworden, bei 
denen versucht wird, den Schlussel in der gesicherten Kom- 
ponente auszuspahen. Dies soli beispielsweise durch Mes- 25 
sung des Stromverbrauchs der gesicherten Komponente er- 
moglicht werden. Durch das haufig wiederholte Beobachten 
des Stromverlaufs und bei dem Bekanntsein wie der Ver- 
schlusselungsvorgang durchgefuhrt ist, ist es schlieBiich 
moglich, Ruckschlusse auf den Schlussel zu Ziehen. 30 

Der Erfindung liegt daher die Aufgabe zugrunde, ein Ver- 
fahren zum Verschlusseln bzw. eine Vorrichtung vorzuse- 
hen, bei der eine erhohte Sicherheit vor dem Ausspahen ei- 
nes geheimen Schlussel wortes gegeben ist. 

Diese Aufgabe wird erfindungsgemaB mit den MaBnah- 35 
men bzw. Mitteln gemaB Patentanspruch 1 bzw. Patentan- 
spruch 3 gelost. 

Dadurch, daB Verschlusselungs- bzw. Entschlusselungs- 
verfahren so gesteuert bzw. Operationen begleitend zu die- 
sem Verfahren gesteuert werden, daB sich auch bei einer 40 
haufig wiederholten Messung von von auBen zuganglichen 
Parametern, wie beispielsweise dem Stromverbrauch, keine 
Ruckschlusse auf den verwendeten Schlussel Ziehen lassen. 

Weitere vorteilhafte Ausgestaltungen der Erfindung sind 
in den Unteranspruchen angegeben. Nachfolgend wird die 45 
Erfindung unter Bezugnahme auf die Zeichnung anhand von 
Ausfuhrungsbeispielen erlautert. 

Hierbei zeigen: 

Fig. 1 ein erstes Ausfuhrungsbeispiel einer erfindungsge- 
maBen Vorrichtung, 50 

Fig. 2 ein zweites Ausfuhrungsbeispiel einer erfindungs- 
gemafien Vorrichtung, anhand der auch das erfindungsge- 
maBe Verfahren erlautert wird und 

Fig. 3 ein drittes Ausfuhrungsbeispiel. 

Mit 1, 2 ist eine zu schutzende Schaltung, die beispiels- 55 
weise aus einem Mikrocontroler 2 und einem Rechenwerk 1 
besteht, bezeichnet. Der Mikrocontroler 2 steuert dabei das 
Rechenwerk 1, in dem beispielsweise ein Verschlusselungs- 
vorgang durchgefuhrt wird. Dieser zu schiitzenden Anord- 
nung wird nunmehr ein Strom I zugefuhrt, der mittels einer 60 
MeBeinrichtung 7 detektierbar ist, wodurch Ruckschlusse 
auf die Vorgange in der zu schutzenden Schaltung 1, 2 gezo- 
gen werden sollen. Es ist nunmehr eine zusatzliche Schal- 
tungseinrichtung 6 vorgesehen, die liber einen Zufallsgene- 
rator 3 gesteuert wird. Dieser Zufallsgenerator kann bei- 65 
spielsweise als ein Sequenzgenerator in Form eines linear 
riickgekoppelten Schieberegisters ausgefuhrt sein, welches 
mit einem Startwert geladen, eine pseudozufallige Folge - 



Nullen und Einsen - erzeugt. Hierbei kann der Startwert ent- 
weder zufallig erzeugt sein oder von der Steuereinrichtung 
beispielsweise auf Basis des Schlusselwortes generiert wer- 
den, auch ist eine Kombination beider Moglichkeiten denk- 
bar. Die somit vom Zufallsgenerator erzeugte Sequenz steu- 
ert nunmehr Schalter S in der zusatzlichen Schaltungsein- 
richtung 6, so daB Kondensatoren, die mit den Schaltern S in 
Reihe liegen, entsprechend der jeweils gerade erzeugten Zu- 
fallsfolge geladen werden. Auf diese Weise wird der Strom- 
verbrauch der zu schutzenden Schaltung 1, 2 durch die zu- 
satzliche Schaltungseinrichtung 6, namlich dem Ladestrom 
der Kondensatoren, verschleiert. Um den Gesamtstromver- 
brauch dieser Einrichtung zu minimieren, ist es nicht not- 
wendig, daB die zusatzliche Schaltungseinrichtung 6 fort- 
wahrend einen Beitrag zum Stromverbrauch liefert. Sie 
kann vielmehr darauf beschrankt werden, nur in der Zeit 
wahrend des Verschlusselns bzw. Entschliisselns zu arbei- 
ten. 

Fig. 2 zeigt ein weiteres erfindungsgemaBes Ausfuh- 
rungsbeispiel. Hierbei liegt das Rechenwerk 1 und die 
Steuerungseinrichtung 2, der Zufallsgenerator 3 und eine 
Speichereinrichtung 5 an einem gemeinsamen Bus 4, der 
von extern mittels einer Schnittstelle 9 zuganglich ist. Uber 
die Schnittstelle 9 werden beispielsweise zu verschlusselnde 
bzw. zu entschiusselnde Daten zugefuhrt. In der Speicher- 
vorrichtung 5 ist ein geheimes Schlusselwort gespeichert, 
das gesteuert von der Steuereinrichtung 2 dem Rechenwerk 
1 zugefuhrt wird, um die uber die Schnittstelle 9 vom Daten- 
bus zugefuhrten Daten zu verschlusseln bzw. zu entschiiis- 
seln. Der Zufallsgenerator 3 erzeugt nunmehr eine Zufails- 
zahl, die der Steuereinrichtung 2 zugefuhrt wird, die nun- 
mehr auf Grundlage dieser ZufaUszahl das Rechenwerk 1 
steuert. Hierbei sind nunmehr zwei Moglichkeiten denkbar. 

Das Rechenwerk 1 wird auf Grundlage der Zufallszahl 
durch die Steuereinrichtung 2 so gesteuert, daB der Ver- 
schlusselungs- oder Entschlusselungsalgorithmus derjewei- 
ligen Zufallszahl entsprechend moduliert wird. Das bedeu- 
tet, es erfolgen somit im Verschlusselungs- bzw. Entschlus- 
selungsalgorithmus Rechenoperationen, die ohne abschlie- 
Bende Auswirkung auf die Verschlusselung bzw. Entschlus- 
selung, mit zufalligen Werten arbeiten. 

Nachfolgend werden Beispiele fur die Variationen des 
Verschlusselungs- bzw. Entschlusselungsalgorithmus be- 
schrieben. 

Ein bekanntes Verfahren ist das sogenannte RSA- Verfah- 
ren. Es arbeitet in der Gruppe teile fremder Restklassen mo- 
dulo N und setzt die Exponenuationen aus Multiplikationen 
modulo N zusammen. Die Varianten dieser Protokolle fur 
elliptische Kurven modulo p besitzen aus modularen Addi- 
tionen und Muluplikationen zusammengesetzte Grundope- 
rationen, sogenannte Additionen und Verdoppelungen in der 
Punktgruppe der eiliptischen Kurven, die ihrerseits zur Ex- 
ponentiation zusammengesetzt werden. Die dritte groBe 
Gruppe besteht aus eiliptischen Kurven uber endlichen Kor- 
pern, deren Elementezahlen eine Primzahlpotenz, die haufig 
eine Potenz von 2 ist. Diese Strukturen werden gemeinhin 
als GF(p n ) bezeichnet. Die Basisarithmetik in diesen Kor- 
pern kann durchgefuhrt werden, indem man die Korperele- 
mente als Polynome mit Koeffizienten aus dem Grundkor- 
per GF(p) oder einem geeigneten Zwischenkorper darstellt, 
die durch Multiplikationen modulo einem festen Korperpo- 
lynom miteinander verknupft sowie koeffizientenweise ad- 
diert werden. In diesem Sinne lassen sich Operationen in 
GF(p n ) bzw. in eiliptischen Kurven uber diesen Korper als 
modulare Rechenoperation auffassen. Dabei sind die nach- 
folgenden drei, dem erfindungsgemaBen Verfahren entspre- 
chende Variationsmoglichkeiten moglich. 
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a) Der Modul N wird durch r - N ersetzt, wobei r eine 
von O verschiedene Zufallszahl ist. Im GF(p n )-Fall 
wird das Korperpolynom durch sein Produkt mit einem 
zufallig gewahlten von 0 verschiedenen Polynom er- 
setzt. Dieser Schritt ist vor Eintritt in die Rechnung 5 
oder einem Teilschritt durchzufuhren und nachfolgend 
durch eine Reduktion des Ergebnisses bzw. Teilergeb- 
nis modulo N zu kompensieren. 

b) Ein Eingangsparameter X einer modularen Rechen- 
operation wird durch den Wert X + s ■ N ersetzt, wobei to 
s eine Zufallszahl ist Dies kann in verschiedenen Re- 
chenschritten durchgefuhrt werden. Auch eine entspre- 
chende Veranderung mehrerer Eingangsparameter der 
selben Operation ist moglich. 

c) Die Exponenten E werden durch E + t • q ersetzt, 15 
wobei t eine Zufallszahl und q die sogenannte Ordnung 
der Basis der auszufuhrenden Exponentiation, oder ein 
geeignetes Vielfaches davon, ist. Potentielle Werte von 

q iassen sich hauflg aus den Systemparametern ablei- 
ten. So kann man fur die Exponentiation modulo N 20 
q=<p (N) und fur elektrische Kurven g als die Anzahl 
der Punkte dieser Kurve wahlen, wobei haufig noch 
bessere Wahlmoglichkeiten gegeben sind. 

Eine weitere Mogiichkeit besteht darin, da6 alternative, 25 
gleichwertige Verschliisselungs- bzw. Entschlusselungsal- 
gorithmen im Rechenwerk 1 durchfuhrbar sind, die gemaB 
der zugefuhrten Zufallszahl zufallig ausgewahlt werden. 

Bei der zuvor beschriebenen Modulation des Verschliis- 
selungs- bzw. Entschlusselungsalgorithmus wird nicht nur 30 
der Stromverbrauch der Anordnung durch die Zufallszahl 
verandert, sondern ebenfalls die benotigte Rechenzeit. Auch 
diese kann als MeBgroBe RQckschlusse auf den Geheim- 
schliissel geben. Gleiches gilt fur die zufallsgesteuerte Aus- 
wahl der aquivalenten Rechenoperationen. 35 

Eine dritte Mogiichkeit ist darin zu sehen, daB ahnlich 
dem Ausfuhrungsbeispiel nach Fig. 1 eine zusatzliche 
Schaltungseinheit 6 vorgesehen ist (gestrichelt dargestellt), 
die ebenfalls mit der Zufuhreinrichtung 4 verbunden ist. Die 
Steuereinrichtung 2 steuert nunmehr die zusatzliche Schal- 40 
tungseinrichtung 6 gemaB einer vom Zufallsgenerator 3 
uber die Zufuhreinrichtung 4 zugefuhrten Zufallszahl. Eine 
Analyse des Strom verbrauchs der dargestellten Gesamtan- 
ordnung ist sornit nicht durch den Betrieb im Rechenwerk 1 
allein bestimmt sondern ebenfalls durch einen zufallig ge- 45 
steuerten Stromverbrauch der zusatzlichen Schaltungsein- 
heit. 

Zusatzlich sei darauf hingewiesen, daB auch die Kombi- 
nation von Modulation des jeweiligen Algorithmus mit ei- 
ner zusatzlichen Schaltungseinheit 6 im ,, Dummy-Betrieb ,, 50 
sinnvoll ist. 

Fig. 3 zeigt ein drittes erfindungsgemaBes Ausfuhrungs- 
beispiel, Hierbei wird der Steuereinrichtung 2, in Form einer 
CPU uber DatenanschluB D Daten zugefuhrt. Gleichzeitig 
wird der "Wait-State- AnschluB" WS mit einem Zufallsgene- 55 
rator 3 verbunden. Dieser Zufallsgenerator 3 erzeugt nun- 
mehr in zufalliger Folge "Einsen" "Nullen". Entsprechend 
der Programmierung wird nunmehr immer dann wenn eine 
"1" oder "0" am Eingang anliegt, der Betrieb der CPU ge- 
stoppt oder wieder aufgenommen. Dies fuhrt dazu, daB der 60 
Betrieb der CPU zwar noch synchron zu einem nicht darge- 
stellten Taktgenerator arbeitet, jedoch keine einheitlichen 
Verarbeitungszyklen mehr aufweist. Da auf diese Weise 
kein fester einheidicher Rahmen mehr vorliegt, sind durch 
Beobachtung der CPU deren Arbeitsvorgange nicht mehr 65 
ohne weiteres nachvollziehbar und nur sehr erschwert ana- 
lysierbar. Dies bedeutet, daB die in der CPU abzuarbeiten- 
den Vorgange "verrauscht" sind. Urn die Randhabbarkeit ei- 
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ner solchen Anordnung zu steigern, kann der Zufallsgenera- 
tor 3 so programmiert werden, daB festlegbar ist, in wel- 
chem zeitlichen Rahmen eine Verarbeitung maximal ab- 
lauft. Dies ist unter anderem dafur notwendig, urn festzu- 
stellen, ob das System insgesamt ausgefallen ist. 

Es erscheint besonders sinnvoll eine Anordnung gemaB 
Fig. 3 mit einer Anordnung gemaB Fig. 1 oder 2 oder mit 
beiden zu kombinieren urn somit beispielsweise die Analyse 
der Bearbeitung eines Gesamtsystems zu erschweren. 

Patentanspruche 

1. Datenverarbeitungsverfahren, bei dem in einer Ver- 
arbeitungseinheit (1, 2) uber eine Datenleitung zuge- 
fuhrte Daten verarbeitet werden, ein Zusatzsignal der 
Verarbeitungseinheit zugefuhrt wird, und bei dem die 
Verarbeitung in Abhangigkeit vom Zusatzsignal er- 
folgt. 

2. Datenverarbeitungsverfahren nach Anspruch 1, bei 
dem das Zusatzsignal von einem Zufallszahlgenerator 
gesteuert ist. 

3. Datenverarbeitungsverfahren nach Anspruch 2, bei 
dem an einer geeigneten Stelle ein Operand mit einer 
Zufallszahl beaufschlagt ist und an einer weiteren ge- 
eigneten Stelle ein entsprechender Kompensations- 
operand rnit der gleichen Zufallszahl beaufschlagt ist. 

4. Datenverarbeitungsverfahren nach Anspruch 2, bei 
dem die Verarbeitung der Daten aus mehreren Einzel- 
schritten zusammengesetzt ist, die aus mehreren Alter- 
nativen gleichwertigen Einzelschritten ausgewahlt 
sind, und/oder aus mehreren sequendell abzuarbeiten- 
den veranderbaren Einzelschritten besteht, wobei die 
Auswahl und/oder die Veranderung auf Grundlage des 
Zusatzsignals erfolgt. 

5. Vorrichtung zum Durchfuhren des Verfahrens nach 
Anspruch 1, mit einer Recheneinrichtung (1), der Da- 
ten rnittels einer Zufuhrvorrichtung (4) zugefuhrt wer- 
den, und einem Zufallsgenerator (3), und einer Steuer- 
vorrichtung (2), die die Recheneinrichtung steuert, wo- 
bei ein Ausgangssignal des Zufallsgenerators (3) die 
Steuereinrichtung (2) und/oder und die Recheneinrich- 
tung (2) beeinfluBt. 

6. Vorrichtung nach Anspruch 5, bei der mit der Steu- 
ereinrichtung (2) eine Hilfsschaltung (6) verbunden ist, 
die von der Steuereinrichtung (2) auf Basis des von 
dem Zufallsgenerator (3) zugefuhrten Ausgangssignal 
gesteuert wird. 
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